2. What is (a) Blackhat?
• A conference for security professionals
• 4 days of training, 2 days of briefings
• 9,000 security executives, hackers, academics, and spies attended Black Hat this year
• A "black hat" hacker is a hacker who "violates computer security for little reason beyond maliciousness or for
personal gain“
• Ticket price range from $1795 - $2595 just for the briefings
3. Venue – Mandalay Bay
Nothing says Vegas like a hotel wedding chapel
• First year that BH enters Mandalay
• 3,309 hotel rooms and a casino of
12,500 m2
• Convention center is 93,000 m2 (!)
4. What is Defcon ?
• By hackers, for hackers
• Nearly 16,000 attendees, up from last year’s 12,000.
• Tickets cost $220 at the door – cash only (I wonder why)
5. Venue – Rio
• 2,522 hotel rooms and a casino of 11,000 m2
• Convention center only 15,000 m2
• Long lines...
6. Focus on hacks, whatever it might be
• Badge hacking
• SDR hacking
• Hardware
• Software
• Locks
• People…
• Hack all the things!
8. Wall of sheep
• Dedicated to security research and
the advancement of security
awareness through, in many cases,
unconventional methods.
”Free charge?! Awesome!”
9. Skytalks
• A con within a con (conception?)
• Classic, old-school Defcon: no cameras, no recording.
No pre-con content takedowns.
No sobriety. No bullshit.
• Solely funded by donations
• “Special” talks
• A brief history of teledildonics. Yeah, apparently that’s a thing.
• Breaking MIFARE ULTRALIGHT.. or how to get free rides and more
14. Extreme Privilege Escalation on Windows
8/UEFI Systems
• Hacking Windows through the bios
https://www.blackhat.com/docs/us-14/materials/us-14-Kallenberg-Extreme-Privilege-
Escalation-On-Windows8-UEFI-Systems-WP.pdf
Vegas och varför konferenserna är där. Hackers blir lätt uttråkade, bra med en stad som aldrig sover.
Läs på sliden.
Black Hat, grundades av Jeff Moss som en systerkonferens till DefCon, ägs nu av UBM Tech.
Är numera ett nätverk av konferenser runt om i världen (EU, USA, Asien) och “toppmöten” runt om i världen
Trainings går på flera tusen dollar styck, beroende på innehåll och längd.
Första året på Mandalay i BH’s 16-åriga historia. Venetian första året, sen Ceasers tom förra året.
28,000 m2 på Ceasers dög inte längre.
Ett av de största privatägda convention centers i världen. Gott om plats. Fult hotell! :D
Trainings är fyra dagar av hård träning med erkända experter inom deras områden, t.ex:
APPLICATION SECURITY: FOR HACKERS AND DEVELOPERS
ATTACKING, DEFENDING AND BUILDING SCADA SYSTEMS
ERP SECURITY: ASSESS, EXPLOIT AND DEFEND SAP PLATFORMS
Briefings: Föreläsningar 2 dagar, säkerhetsforskare och specialister
Networking: Corporate stuff...
Arsenal: Cool tools
$$$: Mycket runt konferensen handlar om pengar. Vendors vill sälja sina coola prylar och synas genom att bjuda på saker. Microsoft t.ex. hade fest på en av Vegas största nattklubbar
Innovation city: Designated area for start-ups to showcase cutting-edge products and solutions and engage with the community
Vendor sessions: One-hour sponsored presentations in the Business Hall Theater, presented by leading researchers and security experts
Business center: Selected area for private meeting rooms and suites to conduct business with clients, colleagues and press
Networking longue: The primary destination for attendees to network, conduct informal meetings and enjoy food and beverages
Efter en lång dag av coola föreläsningar så måste man slappna av, och vilken stad att göra det i ;)
PARTY!
DEFCON är en femgradig beredskapsskala använd av USA:s militär. Konferens som även den grundades av Jess Moss.
Ett lag i CTF som sitter och hackar och plockar flaggor
Ett WIFI-gevär pimpat med pringles-antenner för maximal räckvidd!
WIFI pineapple är ett verktyg med skräddarsydd hård- och mjukvara för revision av trådlösa nätverk.
The intern var ute på djupt vatten...
Folk som har insett att fler delar deras intresse och har därför satt upp en ”village” där man kan testa på och höra föreläsningar om ämnet.
Exempel:
Tamper evident: Man ska försöka bryta sig in någon typ av låda utan att ”auto destruct” sekvensen skall gå av. I år var det en bomb som skulle desarmeras, ala Hollywood :)
Förklara wall of sheep, lyssnar på nätet efter klartextprotokoll
Plugga inte in din dator/telefon i vad som helst...
A small con within defcon. One room with its own schedule and speakers
Not all talks are strictly legal which is why recording and cameras are prohibited.
Talks that are designed to overclock your brain with cutting edge information about sensitive topics that you might not be able to freely discuss or research from the privacy of your own home, workplace, or favorite con
Blackhat / defcon badge sida vid sida summerar konferenserna ganska bra.
Blackhat: Corporate, stilrent, grått, rätt tortt/tråkigt. Ansvarsfullt!
Defcon: Blinkade kretskort som du själv kan hacka och modda, lära dig programmera eller löda med osv. ”Do not obey” är kanske raka motsatsen av vad blackhat står för
Breifly mention how they hacked 20 things in 40 minutes using
Mention that you need to “hide” your ass. For everyone elses sake. And don’t screw it up
Breifly describe how they cloned and manipulated RFID cards for public transport using NFC smartphones
Talk about how the internet of thing could be exploited using timing attacks
Talk about the tool Veil and its new component Pillage
Utilizes$various languages and techniques to generate AV? Evading payloads
– shellcode injection and ’pure’ meterpreter stagers
▪ Modularity:'want$it$to$be$easy$to$ implement$new$post?exploitation$ techniques$
– And$want$to$be$able$to$easily$integrate$our$ code/techniques$into$other$tools$
▪ Completeness:'automation,$ comprehensive$logging,$cleanup,$etc.
Talk about how Wireless cameras lack security and that it is possible to send you own images to the Command Center
Put Tech on Coat
Put Coat on Cat
Send Cat on a walkabout
Recover data when cat returns
Profit
Cats, howa bout dogs… Denial of service Dog – Pinapple + TV B Gone
Talk briefly about how they managed to create a Thunderbolt VGA adapter to hack laptops
Talk about how people have started to create their own ANT devices.